Heartbleed, el fallo de OpenSSL del que ha hablado todo el mundo.
Tras un largo período sin escribir ni un triste post, aquí vuelvo con otro interesante. En este caso voy a hablaros Heartbleed, el famoso fallo en OpenSSL del que todo el mundo ha estado hablando estos días.
Pero vayamos por partes. Primero: ¿qué es OpenSSL? OpenSSL es un proyecto de software libre basado en SSLeay desarrollado por Eric Young y Tim Hudson. Básicamente consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS).
Estas herramientas ayudan al sistema a implementar el protocolo SSL (Secure Socket Layer), así como otros protocolos relacionados con la seguridad como, por ejemplo, TLS (Transport Layer Security). OpenSSL también permite crear certificados digitales que pueden aplicarse a un servidor, como por ejemplo Apache.
¿Y en qué consiste Heartbleed? ¿Porqué es tan grave este fallo? Heartbleed es un bug o fallo en el manejo de memoria en la implementación de la biblioteca Transport Layer Security Heartbeat Extension. El gran impacto que tiene este bug se debe a que al leer un bloque de memoria arbitrario de un servidor web, los atacantes pueden recibir datos importantes, comprometiendo la seguridad del servidor y de sus usuarios. Los datos que podrían ser robados incluyen la clave maestra del propio servidor, que puede permitir a los atacantes descifrar el tráfico actual o el almacenado mediante un ataque pasivo MiTM (Man in The Middle u "Hombre en el medio"), siempre y cuando tanto el servidor como el cliente no usen perfect forward secrecy; o activo, si perfect forward secrecy está activo. Esto quiere decir que el bug puede revelar partes descifradas de las peticiones y respuestas del usuario, incluyendo cualquier tipo de información subida por el usuario a través de la conexión "segura", cookies de sesión y contraseñas, etc., lo que permitiría al atacante suplantar la identidad de cualquier otro usuario del servicio.
¿A qué versiones de OpenSSL afecta? Heartbleed afecta a las versiones 1.0.1 a 1.0.1f.
¿Cómo podemos defendernos de Heartbleed? Si tenemos un servidor que utilice OpenSSL, actualizando OpenSSL a su versión 1.0.1g, que es la más actual y la que corrige este bug. Sino, lo único que nos queda es esperar a que los servicios de Internet que usemos corrijan este bug y después cambiar las contraseñas de todos ellos.
Pero vayamos por partes. Primero: ¿qué es OpenSSL? OpenSSL es un proyecto de software libre basado en SSLeay desarrollado por Eric Young y Tim Hudson. Básicamente consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS).
Estas herramientas ayudan al sistema a implementar el protocolo SSL (Secure Socket Layer), así como otros protocolos relacionados con la seguridad como, por ejemplo, TLS (Transport Layer Security). OpenSSL también permite crear certificados digitales que pueden aplicarse a un servidor, como por ejemplo Apache.
¿Y en qué consiste Heartbleed? ¿Porqué es tan grave este fallo? Heartbleed es un bug o fallo en el manejo de memoria en la implementación de la biblioteca Transport Layer Security Heartbeat Extension. El gran impacto que tiene este bug se debe a que al leer un bloque de memoria arbitrario de un servidor web, los atacantes pueden recibir datos importantes, comprometiendo la seguridad del servidor y de sus usuarios. Los datos que podrían ser robados incluyen la clave maestra del propio servidor, que puede permitir a los atacantes descifrar el tráfico actual o el almacenado mediante un ataque pasivo MiTM (Man in The Middle u "Hombre en el medio"), siempre y cuando tanto el servidor como el cliente no usen perfect forward secrecy; o activo, si perfect forward secrecy está activo. Esto quiere decir que el bug puede revelar partes descifradas de las peticiones y respuestas del usuario, incluyendo cualquier tipo de información subida por el usuario a través de la conexión "segura", cookies de sesión y contraseñas, etc., lo que permitiría al atacante suplantar la identidad de cualquier otro usuario del servicio.
¿A qué versiones de OpenSSL afecta? Heartbleed afecta a las versiones 1.0.1 a 1.0.1f.
¿Cómo podemos defendernos de Heartbleed? Si tenemos un servidor que utilice OpenSSL, actualizando OpenSSL a su versión 1.0.1g, que es la más actual y la que corrige este bug. Sino, lo único que nos queda es esperar a que los servicios de Internet que usemos corrijan este bug y después cambiar las contraseñas de todos ellos.
Comentarios
Publicar un comentario